DEV Community

Cover image for Atrelar máquina Linux ao Active Directory
João Pedro
João Pedro

Posted on • Edited on

Atrelar máquina Linux ao Active Directory

Passo a passo de como configurar uma máquina Linux em um domínio do Active Directory.

Preparações e instalação de pacotes

Comece atualizando os pacotes que já possuímos na máquina e, logo após, instale o que realmente precisamos.

Atualize as dependências com o comando:

Debian

sudo apt update

RHEL

sudo yum update

E prossiga com a instalação dos pacotes:

Debian

sudo apt install -y realmd libnss-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob- mkhomedir packagekit

RHEL

sudo dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common-tools -y

Configurando o realm

De forma resumida, o Realm nos ajuda a descobrir e controlar os domínios que possuímos na máquina.

Para começar, precisamos primeiro descobrir o domínio que estamos procurando.

Utilize o seguinte comando:

realm discover NOME-DO-DOMINIO

Teremos uma resposta semelhante a esta:

Image description

Agora que descobrimos o domínio, precisaremos fazer login nele com um usuário. Utilize o seguinte comando:

sudo realm join -U USUARIO DOMINIO

Se até o momento não ocorreram erros, podemos verificar se realmente estamos conectados, utilizando o comando abaixo para verificar as permissões e grupos do usuário.

id USUARIO@DOMINIO

Outro método para verificar se está tudo ocorrendo corretamente é o seguinte:

realm list

Dessa forma, verificamos se já estamos conectados ao domínio desejado.

Pam-configs (ubuntu)

A configuração no pam-configs foi necessária apenas no Ubuntu para que a pasta do usuário seja criada no momento em que ele entra no sistema.

Apenas é necessário executar o comando:

sudo pam-auth-update --enable mkhomedir

Configurando SSSD

Devemos acessar o arquivo /etc/sssd/sssd.conf para realizar as modificações. Nele, vamos alterar a opção use_fully_qualified_names de False para True. Com essa opção ativada, os usuários estarão no formato user@domain, em vez de apenas user.

No nosso caso, vamos alterar para True, pois possuímos apenas um AD. No entanto, observe que essa alteração deve ser feita somente se você tiver certeza de que nenhum outro domínio será adicionado à floresta do AD.

Em fallback_homedir = /home/%u@%d, vamos modificar para fallback_homedir = /home/%u. Removendo o "@%d", a pasta do usuário será criada apenas com o nome do usuário.

Na opção access_provider = ad, muda-se para access_provider = simple.

Agora vamos adicionar uma opção que não está presente em nosso arquivo, que é o simple_allow_groups. Nessa opção, vamos adicionar os grupos que temos no AD e desejamos que tenham acesso à máquina Linux.

No nosso caso, temos dois grupos: linuxuser e linuxadmin. Para adicioná-los, devemos incluir simple_allow_groups = linuxuser, linuxadmin no arquivo.

Como resultado, o arquivo ficará da seguinte maneira:

Image description

Observação: nos lugares onde está escrito "Domain.local", deve ser o domínio que você está integrando ao sistema. E em "simple_allow_users = groups, linuxuser, linuxadmin" é uma opção adicionada automaticamente no próximo item.

Assim, finalizando o processo de configuração do SSSD, vamos permitir o acesso dos usuários que estão nos grupos que adicionamos em simple_allow_groups. Utilize os seguintes comandos:

realm permit [group]

Exemplo:

realm permit linuxuser

realm permit linuxadmin

SUDOERS

Com os processos realizados nos itens acima, já conseguiremos acessar a máquina utilizando o usuário do AD. No entanto, ele não terá acesso root no sistema. Para resolver isso, devemos adicionar os grupos dentro do arquivo /etc/sudoers. O resultado será o seguinte:

Image description

Adicionamos o grupo %linuxuser para permitir que todos os usuários do grupo linuxuser possam acessar a máquina e obter acesso root.


Conclusão

Ao seguir essas etapas, os usuários do Active Directory poderão autenticar-se na máquina Linux e ter os privilégios adequados. Certifique-se sempre de seguir as melhores práticas de segurança ao realizar essas configurações.

Top comments (0)